[linux-l] router gehackt

Bodo Eichstädt retsam at gmx.de
Do Mai 24 12:40:44 CEST 2007


Ivan F. Villanueva B. wrote:
> Wie realistisch scheint euch diese Behauptung?
>   
Plausibel, wahrscheinlich auch in der Praxis auch anzutreffen.
> Kennt sich jemand aus, wie das Beschreiben der Firmware funktioniert? Konkret:
> ich frage mich, ob man es mit einer modifizierten Firmware vermeiden kann, dass
> sie wieder überschrieben wird, wenn man eine normale Firmware-Update macht.
>   
In der Regel verfügen die Router über zwei Firmware-Bereiche. Das erste,
kleine ist ein Bootloader, der auch wenn dann die Hauptfirmware
schreiben kann wenn es während des Flashens zu eines Stromausfall kommt.
Die Hauptfirmware enthält die Funktionen der Weboberfläche, die in der
Regel auch zum Flashen genutzt wird. Dort könnte tatsächlich sehr
einfach der User mit einem simulierten Flash-Vorgang darüber getäucht
werden, dass in Wahrheit diese infizierte Firmware garnicht
überschrieben wurde.
Daneben gibt es aber zumeist in besagtem Bootloader eine
Notfallfunktion. Denn wenn die Hauptfirmware defekt ist, funktioniert
auch das Webinterface nicht mehr. Das funktioniert dann über TFTP.

Ergo:
1.) Wenn dieses TFTP-Feature vorhanden ist, sollte man das zum Flashen
benutzen, um sicher zu sein.
2.) Dieser Bootloader ist in der Regel von aussen nicht modifizierbar.
Ein Austausch des Bootloader erfordert also das Öffnen des Gerätes und
mehr oder minder viel Lötarbeiten. Entweder durch Austauschen des ROM
(in dem der Loader enthalten ist) oder das Einlöten eines sog.
JTAG-Interfaces, sozusagen ein Programmier- und Debugginganschluss auf
unterster Ebene.

Die Modifikation von 2.) ist also für Anfänger und Scriptkiddies nicht
mit ein wenig Software erledigt. Sicher ist man jedoch nicht, da in der
Szene für viele Routermodelle dazu Dokumentationen zu finden sind.

Bodo



Mehr Informationen über die Mailingliste linux-l